配置举例二（USB Key认证方式）

本节提供一个利用用USB Key方式进行认证的SCVPN配置实例。

外网PC1（IP：6.6.6.5/24）通过Hillstone设备访问内网服务器Server1（IP：10.160.65.52/21），要求使用SCVPN对数据进行加密，并且通过USB Key方式对用户进行认证：只有当用户的UKey支持标准的Windows SDK （Certificate Store Functions），并且存储的证书合法时，用户才可以登录设备。本例以用户持有Hillstone UKey为例。

组网图如下：

准备工作

使用USB Key认证，用户需要做以下准备工作：

• 准备数字证书和相应的CA证书。
• 准备Hillstone UKey和配套光盘。
• 使用Hillstone UKey管理员软件导入数字证书到UKey。

请按照以下步骤进行配置：

第一步：创建本地用户。

1. 从工具栏的<对象用户>下拉菜单选择『本地用户』，弹出<本地用户>对话框。
2. 在<本地服务器>下拉菜单中选择本地服务器“local”，并点击『新建』按钮，在下拉菜单中选中<用户>，弹出<新建用户>对话框。具体配置信息如下：
   • 名称：user1
   • 密码：hillstone
   • 重新输入密码：hillstone
3. 点击『确定』按钮，保存所做配置并返回上一级对话框/页面。

第二步：配置PKI信任域。

1. 从工具栏的<对象用户>下拉菜单选择『PKI』，弹出<PKI管理>对话框。
2. 点击『信任域』标签页的『新建』按钮，弹出<PKI配置>对话框。具体配置信息如下：
   • 信任域：stone
   • 证书获取方法：手动输入
3. 点击『下一步』按钮进入CA证书配置对话框，点击<导入CA证书>部分的『浏览』按钮，选中需要导入的CA证书文件，然后点击『导入』按钮进行导入。
4. 点击『下一步』按钮进入主题配置对话框，在<密钥对>下拉菜单选中“Default-Key”。
5. 点击『下一步』按钮。
6. 点击『确定』按钮，保存所做配置并返回上一级对话框/页面。

第三步：配置SCVPN地址池。

1. 从页面左侧导航树选择并点击“配置网络SSL VPN”，进入SCVPN页面。
2. 从页面右侧辅助栏的<任务>区选择『SSL VPN地址池』链接，进入SCVPN的地址池页面。
3. 点击地址池列表左上角的『新建』按钮，弹出<地址池配置>对话框。在对话框的『基本配置』标签页，进行如下配置：
   • 地址池名称：pool1
   • 起始IP：20.1.1.1
   • 终止IP：20.1.1.255
   • 网络掩码：255.255.255.0
   • DNS1：20.1.1.3
   • WINS1：20.1.1.2
4. 点击『确定』按钮，保存所做配置并返回上一级对话框/页面。

第四步：创建隧道接口（隧道接口的IP地址必须与SCVPN地址池的IP地址在同一网段）

1. 从页面左侧导航树选择并点击“配置网络网络连接”，进入网络连接页面。
2. 点击安全域列表左上角的『新建』按钮，弹出<安全域配置>对话框。具体配置信息如下：
   • 安全域名称：VPN
   • 类型：三层安全域
3. 点击『确定』按钮将配置的安全域添加进系统并且显示在安全域列表中。
4. 点击接口列表左上角的『新建』按钮，弹出接口类型下拉菜单。
5. 从下拉菜单中选择并点击<隧道接口>，系统弹出<接口配置>对话框。在对话框的『常规』标签页，进行如下配置：
   • 名称：tunnel1
   • 绑定安全域：三层安全域
   • 安全域：从下拉菜单中选择“VPN”
   • 类型：静态IP
   • IP地址：20.1.1.1
   • 网络掩码：24
6. 点击『确定』按钮，保存所做配置并返回上一级对话框/页面。

第五步：配置SCVPN设备端。

1. 从页面左侧导航树选择并点击“配置网络SSL VPN”，进入SCVPN页面。
2. 点击SCVPN列表左上角的『新建』按钮或者从页面右侧辅助栏的<任务>区选择『新建SSL VPN』链接，弹出<SSL VPN配置>对话框。
3. 阅读<欢迎页>内容，并在<SSL VPN名称>文本框中输入“ssl1”。
4. 点击『下一步』按钮进入<接入用户>配置页面。在<AAA服务器>下拉菜单选择“local”，然后点击『添加』按钮。
5. 点击『下一步』按钮进入<接入接口/隧道接口>配置页面。在该页面进行如下配置：
   • 出接口1：ethernet0/5
   • 服务端口：4433
   • 隧道接口：从下拉菜单中选择“tunnel1”
   • 地址池：从下拉菜单中选择“pool1”
6. 点击『下一步』按钮进入<策略/隧道路由配置>页面。在<IP>和<网络掩码>文本框分别输入“10.160.64.0”和“255.255.248.0”，然后点击『添加』按钮。
7. 点击『高级配置』按钮，在<客户端>页面进行如下配置：
   • 数字证书认证：选中<启用>复选框
   • 信任域：从下拉菜单中选择“stone”，然后点击『添加』按钮
8. 点击『完成』按钮，保存所做配置并返回上一级对话框/页面。

第六步：编辑从VPN到Any的策略规则。

1. 从页面左侧导航树选择并点击“配置安全策略”，进入策略页面。
2. 在<源安全域>下拉菜单中选中“VPN”，<目的安全域>下拉菜单中选中“Any”，策略列表中显示符合条件的策略规则。选中源安全域为“VPN”且目的安全域为“Any”的策略规则对应的复选框，点击『编辑』按钮，弹出<策略配置>对话框。在<目的安全域>下拉菜单中选中“trust”。

3. 点击『确定』按钮，保存所做配置并返回上一级对话框/页面。

第七步：在PC1的浏览器中输入https://6.6.6.1:4433，在弹出的登录页面输入用户名密码，分别是“user1”和“hillstone”。认证通过后下载并安装Hillstone Secure Connect。

第八步：客户端操作。

1. 在客户端PC安装Hillstone UKey驱动程序。
2. 插入UKey。
3. 打开SCVPN客户端，点击『模式』按钮，在<登录模式>对话框中选择『用户名/密码+数字证书』；点击『选择证书...』按钮，在<选择证书>对话框中选择『使用USB Key证书』。
4. 点击『确认』按钮返回，按下图所示依次填写登录信息（密码为“hillstone”；PIN码为UKey的用户口令，默认为1111）。填写完毕，点击『登录』按钮，进行连接。